火绒高级威胁防护规则

191196846

*原反攻击规则已停止维护，项目迁移至Github并重写为火绒高级威胁防护规则。

项目地址：https://github.com/JerryLinLinLin/Huorong-ATP-Rules
下载地址：https://github.com/JerryLinLinLi ... les/releases/latest
规则文档：https://github.com/JerryLinLinLi ... ter/rules/README.md


火绒高级威胁防护规则


基于 MITRE ATT&CK™ 和恶意软件行为特征编写而成的火绒自定义防护规则，能够检测，阻止，拦截各类恶意软件，高级持续性威胁（APT）的攻击载体和攻击途径，典型的如无文件攻击，漏洞攻击，加密勒索等。同时具有较高的可扩展性和可维护性，对社区开发者友好。

• 安装/导入规则
• 新手上路
• 规则内容
• 规则目录
• 自动化脚本
• 更新日志
• 反馈/贡献
  

安装/导入规则

下载最新规则版本，解压文件可得Rule.json, Auto.json。打开火绒主界面->防护中心->高级防护->自定义规则，点击开关启用，点击项目->进入高级防护设置项，在自定义规则设置界面->导入->选择Rule.json，在自动处理设置页面->导入->选择Auto.json。版本更新时请手动删除旧规则然后重新导入。


新手上路

按照此图所示导入规则。

为防止误报，部分规则默认未启用，请在阅读规则文档后再选择开启。


规则内容

• Office 漏洞攻击防护
• 勒索防护
• 无文件攻击防护
• 流行恶意软件家族防护
• ...详见规则文档
  

规则目录

所有规则位于rules/目录下，子文件夹代表不同规则组，以威胁类别.行为描述/病毒家族命名，例如Exploit.MSOffice。

每个子目录下含有规则文件rule.json、auto.json，为当前规则组的规则文件和对应的自动处理文件。每项规则以当前规则组名称+字母命名，例如Exploit.MSOffice。

每条规则的具体用途可在各规则组文件夹下README.md找到，或在Rules根目录下找到。

目录结构如下

1. .
   
2. ├── Classification.Description1
   
3. ├── Classification.Description2
   
4. │   ├── rule.json
   
5. │   ├── auto.json
   
6. │   └── README.md
   
7. └── README.md
   

复制代码

自动化脚本

位于scripts/目录下，用于自动检查规则文件格式、导出/合并所有规则组，生成规则说明文档等，仅限于此规则目录结构。

• validate_rules.py - 验证规则文件，基于此schema
  

1. usage: validate_rules.py [-h] --path PATH
   
2. 
   
3. optional arguments:
   
4.   -h, --help   show this help message and exit
   
5.   --path PATH  folder path to check
   

复制代码

• merge_rules.py - 将规则组合并为一个文件，方便导入。
  

1. usage: merge_rules.py [-h] --path PATH --output OUTPUT
   
2. 
   
3. optional arguments:
   
4.   -h, --help       show this help message and exit
   
5.   --path PATH      rule folder path to merge
   
6.   --output OUTPUT  output folder path
   

复制代码

• md_parser.py - 生成规则文档。
  

1. usage: md_parser.py [-h] --path PATH
   
2. 
   
3. optional arguments:
   
4.   -h, --help   show this help message and exit
   
5.   --path PATH  rule folder path to generate markdown
   

复制代码

更新日志

详见每次发布日志


TO-DO: Add changelog.md

反馈/贡献

在开Issues或者PR前，请确保阅读contributing guidelines。

191196846

4.0版本更新日志

4.30
01/17/2021
1. 解决部分误报
2. 新增 隐私窃取防护.A.00 ， 针对腾讯系应用

4.28
01/10/2021
1. 解决部分误报

4.27
05/06/2020
1. 解决部分误报

4.26
05/02/2020
1. 增强对隐私窃取类木马的防护
2. 4.0 部分隐私防护，系统进程防护回归，默认关闭，有需要的可以手动开启（需要自己添加排除规则）
3. 解决部分误报

4.25
04/18/2020
1. 默认关闭powershell防护，有需要可以开启
2. 解决部分误报

4.24
03/23/2020
1. 删除部分可能导致误报的规则

4.23
03/15/2020
1. 解决部分误报

4.22
03/07/2020
1. 解决部分误报

4.21
03/04/2021
1. 解决部分误报

4.20
03/04/2021
1. 增强对 Formbook and AgentTesla 的防护
2. 解决部分误报

4.14
03/03/2020
1. 解决部分误报

4.12
02/25/2020
1. 解决部分误报

4.11
02/19/2020
1. 解决部分误报

4.10
02/17/2020
1. 合并规则组

4.05
02/14/2020
1. 解决WPS误报

4.04
12/10/2019
1. 解决部分误报

4.03
09/03/2019
1. 解决部分误报


4.02
08/13/2019
1. 解决部分误报


4.01
07/17/2019
1. 解决部分误报

99308702

大佬有空更新下6.0的规则不

清晨阳光

感谢楼主分享

99308702

能不能出个6.0版本的

song66

GOOD,666666

jone_jys

经测试了楼主的规则，发现有一些问题：
“自动处理规则”里面有些“全局放行”规则会导致 “自定义规则”的“询问我”或者“自动阻止”失效。。（也就是说，有了“全局放行”的自动处理规则，自定义规则就失效了）

比如：

自动处理规则：发起程序“ * ” ，保护对象“ >\Program Files*.>.* ”， 保护动作 “创建” ，处理方式“自动允许”

这条自动处理规则，“全局放行”了【所有程序】在【C:\Program Files\* & C:\Program Files (x86)\*】目录下的“新建”文件；如果自定义规则是“询问”，当程序触犯规则时（在C:\Program Files\WindowsApps\ 下新建任何文件）也不会询问了；即便是“自动阻止”也是无效的。如，限制UWP应用自动更新(新建)，就失效了。。

自动处理规则：发起程序“>\Program Files*.exe”，保护对象“*.>.* ”，保护动作“创建”， 处理方式“自动允许”

这条自动处理规则，“全局放行”了所有【程序目录】下的程序，新建【任何文件】了。如，自定义规则为，限制edge，新建 *.*.exe，就没法拦截了。。

上面列举的2条“自动处理规则”已经和官方沟通，因目前火绒对于“自动允许”&“自动阻止”的 优先级 似乎还是摸棱两可。
目前得到的答复是，“允许和阻止”谁在前面就优先处理谁，实际测试也是这样。

PS：提醒！有在使用楼主的规则的用户，需要检查一下规则的“有效性”。

lby358770105

非常感谢

sxp3468

谢谢楼主分享

小小走召

191196846 发表于 2018-12-6 20:48
https://www.anquanke.com/post/id/167334

最新 Flash 0day 漏洞（CVE-2018-15982）攻击  拦截

WC 原来发现是毒啊 还好有密码

DissociaDID

感谢分享，辛苦了！！！！

绒绒要火

        不错，支持了

绒绒要火

        不错，支持了

绒绒要火

不错，支持了

luckboy007

感觉大佬分享，就是这个云盘不好进

tenyu

谢谢楼主分享

凝脂白玉

感谢大佬分享